von RA Phil Salewski

Teil 3: Datenschutzrechte der Kunden von Cloudhosting-Anbietern in Europa und den USA

News vom 13.11.2019, 14:33 Uhr | Keine Kommentare

Die im Grundsatz verschiedenen Datenschutzansätze in Europa und den USA begründen nicht nur unterschiedlich ausgeprägte Pflichtprogramme für Cloudhosting-Anbieter. Vielmehr wirken sie sich auch entscheidend auf die Rechte aus, mit denen die Kunden dieser Anbieter nach den Datenschutzgesetzen ausgestattet werden. Lesen Sie im Folgenden mehr zu den Berechtigungen, die Personen in Europa einerseits und in den USA andererseits bei der Inanspruchnahme von Cloudhosting-Diensten eingeräumt werden.

I. Rechte der Kunden nach der DSGVO in Europa

Weil unter der Geltung der DSGVO in Europa Cloudanbieter bei Datenverarbeitungen gegenüber ihren Kunden als weisungsgebundene „Auftragsverarbeiter“ tätig werden, korrespondieren die Kundenrechte weitgehend mit den Anbieterpflichten. Alle Kundenrechte fußen darauf, dass Cloudanbieter in Bezug auf die eingesetzten Technologien über einen entscheidenden Wissens- und Kenntnisvorsprung verfügen, der zum Schutz eingespeister Daten ihre Unterstützung notwendig macht.

Europäische Kunden können gegenüber Cloudanbietern gemäß Art. 28 DSGVO insofern verlangen, dass

  • Sämtliche Mitarbeiter des Cloudanbieters, die mit eingespeisten Daten der Kunden in Berührung kommen, sich zur Vertraulichkeit verpflichtet haben
  • Der Cloudanbieter alle erforderlichen technischen und organisatorischen Maßnahmen ergreift, die zum Schutz der Daten und zu deren Sicherheit erforderlich sind (Verschlüsselung, Anonymisierung, Back-Up-Lösungen, Krisenmanagement bei Systemausfällen etc.)
  • Der Cloudanbieter adäquate Mittel bereitstellt, die dem Kunden regelmäßige Datensicherheitskontrollen und eine Prüfung der Wirksamkeit der eingerichteten Schutzmaßnahmen ermöglicht (etwa über die Bereitstellung von Zugriffsprotokollen zum Datenmonitoring)

Gleichzeitig steht europäischen Kunden das Recht zu, Cloudanbieter jederzeit zur Unterstützung bei der Reaktion auf Betroffenenanträge anzuhalten. Üben Datensubjekte, deren Daten vom Kunden in die Cloud eingespeist wurden, gegenüber dem Kunden Betroffenenrechte (etwa ein Datenauskunfts- oder Löschungsrecht aus), muss der Cloudanbieter mit bereits eingerichteten Maßnahmen zur Hand greifen und für die effektive Umsetzung der Betroffenenrechte sorgen. Im Lichte aller Betroffenenrechte ist hierfür eine wirksame Protokollierung der Verarbeitungssituationen und Datenbestände mit Blick auf den einzelnen Kunden ebenso erforderlich wie eine kundenbezogene Datenorganisation. Zudem sind interne Abläufe und Verantwortlichkeiten zu definieren.

Hiermit einher geht auch das Recht der Kunden, vom Cloudanbieter im Falle von Datenpannen (z.B. unberechtigte Fremdzugriffe, Datenmanipulationen, Datenverluste) Systemeinblicke, Risikoabschätzungen und geeignete Abhilfemaßnahmen zu verlangen. Denn nur so kann ein Risiko für die Rechte der Betroffenen effektiv eingedämmt werden. Außerdem ermöglicht allein die Mitwirkung des Cloudanbieters dem Kunden, seine in derlei Fällen entstehenden gesetzlichen Meldepflichten aus Art. 33 und 34 DSGVO ordnungsgemäß zu erfüllen.

Hinzukommt, dass europäische Kunden Cloudanbietern zu verbieten, bei der Verarbeitung personenbezogener Daten über die Cloud im Kundenauftrag auf Subunternehmer zuzugreifen. Deren Einsatz ist nur mit der ausdrücklichen Einwilligung des Kunden möglich. Anderenfalls würden erhebliche Kontrollverluste der Kunden drohen.

Schließlich haben Kunden zur Ausübung einer effektiven Datenkontrolle auch das Recht, nach Beendigung eines Cloudhosting-Vertrages vom Anbieter eine unwiderrufliche Löschung aller eingespeisten personenbezogen Daten aus allen Systemen zu verlangen.

All diese Rechte und die konkreten Umstände und Mechanismen für eine wirksame Durchsetzung müssen in Bezug auf die konkrete Hosting-Leistung in einem sogenannten „Vertrag über die Auftragsverarbeitung“ definiert und verbindlich festgelegt werden. Auf den Abschluss eines solchen datenschutzrechtlichen Vertrages hat jeder Cloudhosting-Kunde einen gesetzlichen Anspruch.

Verletzt der Anbieter Pflichten aus dem Vertrag, können dem Kunden empfindliche Schadensersatz- und Regressansprüche zustehen.

Premiumpaket

II. Rechte von Cloudhosting-Kunden in den USA

Während in Europa die Ausgestaltung von Kundenrechten vom besonderen datenschutzrechtlichen Über-Unterordnungsverhältnis zwischen Kunden und Cloudanbietern durch das Gesetz geprägt ist, existieren für Kunden in den USA keine gesetzlich verankerten Datenschutzrechte.

Dies hat zur Folge, dass Cloudanbieter auf Grundlage der Dienstleistungsverträge selbst entscheiden können, ob und inwieweit sie ihren Kunden eine datenschutzrechtliche Kontrolle ermöglichen wollen.
Meist wird hierbei vertraglich nur auf interne Compliance-Regelungen zur datenschutzrechtlichen Organisation verwiesen, ohne Kunden aber selbst Interventionsrechte einzuräumen.

Freilich liegt dies auch daran, dass in den USA eine Auftragsverarbeitung nach dem europäischen Modell nicht existiert. Im Zweifel sind Betroffene in den USA, deren Daten durch einen Cloudhosting-Kunden in eine US-Cloud eingespeist wurden, hier aber weitgehend schutzlos gestellt. Die wirksame Kontrolle ihrer Daten und die hierfür erforderlichen Rechte der Cloudhosting-Kunden hängen so von der Willkür und dem Goodwill der Anbieter ab.

III. Fazit

In Europa sind die Datenschutzrechte von Cloudhosting-Kunden maßgeblich durch die sogenannte Auftragsverarbeitung geprägt. Bei dieser haben Kunden über eingespeiste personenbezogene Daten eine Datenhoheit und sind direkt für diese verantwortlich. Der Cloudanbieter ist demgegenüber in Bezug auf die Daten nur weisungsgebundener Verarbeiter im Auftrag und mithin gesetzlich der Kontrolle seiner Kunden unterworfen. Hieraus fließen weitreichende Prüf- und Interventionsrechte der Kunden.
In den USA hingegen, wo Auftragsverarbeitungsverhältnisse nach europäischem Vorbild nicht existieren, entscheiden Cloudanbieter eigenständig, ob und inwieweit sie ihren Kunden Datenschutzrechte und hiermit verbundene Kontrollrechte einräumen wollen. Dies führt meist zu einem erheblichen Verlust von Datenschutzmöglichkeiten.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2020 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller
IT-Recht Kanzlei München 311
4.9 5